Condividi tramite

Criteri di accesso condizionale comuni: protezione della registrazione delle informazioni di sicurezza

  • Articolo

Proteggere quando e come gli utenti si registrano per l'autenticazione a più fattori Microsoft Entra e la reimpostazione della password self-service è possibile con le azioni dell'utente in un criterio di accesso condizionale. Questa funzionalità è disponibile per le organizzazioni che abilitano la registrazione combinata. Questa funzionalità consente alle organizzazioni di gestire il processo di registrazione come qualsiasi applicazione in un criterio di accesso condizionale e di usare la massima potenza dell'accesso condizionale per proteggere l'esperienza. Gli utenti che accedono all'app Microsoft Authenticator o abilitano l'accesso tramite telefono senza password sono soggetti a questo criterio.

Alcune organizzazioni in passato potrebbero aver usato la posizione di rete attendibile o la conformità dei dispositivi come mezzo per proteggere l'esperienza di registrazione. Con l'aggiunta di Pass di accesso temporaneo in Microsoft Entra ID, gli amministratori possono fornire credenziali limitate al tempo ai propri utenti che consentono loro di registrarsi da qualsiasi dispositivo o posizione. Le credenziali pass di accesso temporaneo soddisfano i requisiti di accesso condizionale per l'autenticazione a più fattori.

Esclusioni di utenti

I criteri di accesso condizionale sono strumenti potenti, ma è consigliabile escludere dai criteri i seguenti account:

  • Gli account di accesso di emergenza o critici per impedire il blocco degli account a livello di tenant. Nell'improbabile scenario in cui tutti gli amministratori siano bloccati dal tenant, l'account di amministrazione con accesso di emergenza può essere utilizzato per accedere al tenant e ripristinare l'accesso.
  • Account del servizio e entità servizio, ad esempio l'account di sincronizzazione Microsoft Entra Connect. Gli account del servizio sono account non interattivi che non sono collegati a un utente specifico. Vengono in genere usati dai servizi back-end che consentono l'accesso a livello di codice alle applicazioni, ma vengono usati anche per accedere ai sistemi per scopi amministrativi. Gli account del servizio di questo tipo dovrebbero essere esclusi poiché l'autenticazione a più fattori non può essere eseguita a livello di codice. Le chiamate effettuate dalle entità servizio non verranno bloccate dai criteri di accesso condizionale con ambito utenti. Usare l'accesso condizionale per le identità identità dei carichi di lavoro al fine di definire criteri destinati alle entità servizio.
    • Se l'organizzazione dispone di questi account in uso negli script o nel codice, è consigliabile sostituirli con identità gestite. Come soluzione alternativa temporanea, è possibile escludere questi account specifici dai criteri di base.

Distribuzione modelli

Le organizzazioni possono scegliere di distribuire questo criterio usando i passaggi descritti di seguito o usando i modelli di accesso condizionale.

Creare un criterio per proteggere la registrazione

I criteri seguenti si applicano agli utenti selezionati, che tentano di eseguire la registrazione usando l'esperienza di registrazione combinata. Il criterio richiede che gli utenti si trovano in un percorso di rete attendibile e eseseguono l'autenticazione a più fattori oppure usano credenziali pass di accesso temporaneo.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>criteri di accesso> condizionale.
  3. Selezionare Nuovi criteri.
  4. In Nome immettere un nome per i criteri. Ad esempio, Registrazione combinata delle informazioni di sicurezza con TAP.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.

    1. In Includi selezionare Tutti gli utenti.

      Avviso

      Gli utenti devono essere abilitati per la registrazione combinata.

    2. In Escludi.

      1. Selezionare Tutti gli utenti guest ed esterni.

        Nota

        Il pass di accesso temporaneo non funziona per gli utenti guest.

      2. Selezionare Utenti e gruppi e scegliere l'accesso di emergenza o gli account break-glass dell'organizzazione.

  6. In Risorse di destinazione>Azioni utente selezionare Registra informazioni di sicurezza.
  7. In Condizioni>Percorsi:
    1. Impostare Configura su .
      1. Includere Tutte le località.
      2. Escluderetutti i percorsi attendibili.
  8. In Controlli di accesso>Concedi:
    1. Selezionare Concedi accesso, Richiedi autenticazione a più fattori.
    2. Seleziona Seleziona.
  9. Confermare le impostazioni e impostare Attiva criterio su Solo report.
  10. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'interruttore Abilita criterio da Solo report a .

Gli amministratori devono rilasciare credenziali pass di accesso temporaneo ai nuovi utenti in modo che possano soddisfare i requisiti per la registrazione dell'autenticazione a più fattori. I passaggi per eseguire questa attività sono disponibili nella sezione Creare un pass di accesso temporaneo nell'interfaccia di amministrazione di Microsoft Entra.

Le organizzazioni potrebbero scegliere di richiedere altri controlli di concessione con o al posto di Richiedi autenticazione a più fattori al passaggio 8a. Quando si selezionano più controlli, assicurarsi di selezionare l'interruttore del pulsante di opzione appropriato per richiedere tutti o uno dei controlli selezionati quando si apporta questa modifica.

Registrazione utente guest

Per gli utenti guest che devono registrarsi per l'autenticazione a più fattori nella directory, è possibile scegliere di bloccare la registrazione dall'esterno dei percorsi di rete attendibili usando la guida seguente.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come amministratore dell'accesso condizionale.
  2. Passare a Protezione>criteri di accesso> condizionale.
  3. Selezionare Nuovi criteri.
  4. In Nome immettere un nome per i criteri. Ad esempio, Registrazione delle informazioni di sicurezza combinata su reti attendibili.
  5. In Assegnazioni, selezionare Utenti o identità del carico di lavoro.
    1. In Includi selezionare Tutti gli utenti guest ed esterni.
  6. In Risorse di destinazione>Azioni utente selezionare Registra informazioni di sicurezza.
  7. In Condizioni>Percorsi:
    1. Configurare .
    2. Includere Tutte le località.
    3. Escluderetutti i percorsi attendibili.
  8. In Controlli di accesso>Concedi:
    1. Selezionare Blocca accesso.
    2. Quindi, scegli Seleziona.
  9. Confermare le impostazioni e impostare Attiva criterio su Solo report.
  10. Selezionare Crea per creare e abilitare il criterio.

Dopo che gli amministratori confermano le impostazioni usando la modalità solo report, possono spostare l'interruttore Abilita criterio da Solo report a .

Contenuto correlato